Из чего складывается безопасность мобильных коммуникаций
Защита персональных данных и конфиденциальность переписки волнует как пользователей, так и бизнес.
Валерий Угрюмов, основатель и генеральный директор компании Stream Telecom, разработчика платформы для автоматизации массовых коммуникаций, рассказал, как при рассылках обеспечивается юридическая и техническая безопасность передаваемой информации.
Как защищаются данные пользователей на государственном уровне
Для индустрии мобильных коммуникаций данные о пользователях — это ключевой актив. Именно на основе их анализа бизнес может строить эффективные маркетинговые стратегии.
В России личные данные граждан защищены Федеральным законом «О персональных данных».
Перед передачей любых личных данных пользователь должен дать явное согласие на их обработку — письменно, по телефону, через СМС или в электронном виде.
Конфиденциальность содержания СМС-переписки, электронных писем, сообщений в мессенджерах гарантирует Федеральный закон «О связи». Доступ к передаваемой информации могут получить только правоохранительные органы с разрешения суда.
В последние годы в России стремятся сохранять персональные данные внутри страны, избегая использования зарубежных сервисов.
Так, с 1 марта 2023 года госкомпании, банковские и некредитные финансовые организации не могут общаться с клиентами в иностранных мессенджерах.
А другие бизнесы, которые оперируют личной информацией о пользователях и используют для коммуникаций зарубежные сервисы, обязаны сообщать Роскомнадзору о трансграничной передаче данных. Но при соблюдении всех требований, общение частных компаний с клиентами в WhatsApp, Viber и Telegram не несет никаких рисков.
Принципы безопасности в мессенджерах, СМС и email
Массовые рассылки нельзя организовать самостоятельно, они отправляются через провайдера — именно он следит за тем, чтобы данные пользователей оставались в безопасности. У надёжного поставщика должны быть лицензии на оказание телематических услуг, услуг по передаче данных, а также аттестат соответствия информационной безопасности.
Провайдер может предоставлять и антифрод-решения, которые блокируют подозрительные активности.
Безопасность обеспечивают и сами сервисы, в которых происходит коммуникация бизнеса и клиентов. Так, например, все популярные мессенджеры шифруют сообщения. Это означает, что только отправитель и получатель могут видеть содержимое переписки.
Но в случае с мессенджерами угрозу могут нести «серые» схемы подключения, когда рассылки отправляются не с бизнес-аккаунта, а с обычного. При такой авторизации невозможно получить весь функционал, который предоставляет официальный аккаунт: отправлять массовые сообщения, получить статус компании, добавлять кнопки к сообщениям.
К тому же, мессенджеры оперативно реагируют на жалобы пользователей и блокируют такие аккаунты.
Для email-рассылок важна репутация домена-отправителя. Почтовому сервису необходимо доказать, что бизнес отправляет письма по своей базе с релевантным контентом. Со свежего домена нельзя сразу разослать сообщения всем получателям, его нужно «прогревать», постепенно добавляя новые адреса.
Если более 1% пользователей отметят, что получаемые сообщения — спам, то отправка писем с этого домена будет ограничена.
Кроме того, не стоит работать с купленными или “слитыми” базами данных, так как в них могут содержаться спам-ловушки. Это специально созданные аккаунты, письма в которых никогда не открываются. Они нужны для выявления тех, кто работает не со своими базами. Если прислать больше одного сообщения такому адресату, то отправителя могут заблокировать.
Безопасность СМС-коммуникаций обеспечивается как разработчиками решений для рассылок, так и мобильными операторами: для передачи и хранения данных они используют российские сервера.
Но атака на бизнес может осуществляться не с помощью хитрых схем взлома аккаунта, а более банально.
Например, через постоянно повторяемый запрос кода авторизации на сайте. Мошенник им так и не воспользуется, но компании придется заплатить за каждое СМС. Поэтому провайдеры разрабатывают и внедряют антифрод-решения, которые ограничивают подозрительную отправку сообщений на один и тот же номер.
Для защиты от взлома личных аккаунтов организации используют метод двухфакторной аутентификацией, при котором пользователь предоставляет два разных типа информации для подтверждения своей личности.
Еще пятнадцать лет назад одним из вариантов такой защиты был ответ на вопрос о девичьей фамилии матери или кличке первого животного, но этот способ не являлся эффективным: данные можно было получить методом подбора, найти в открытых источниках, спросить лично.
Сегодня технологии усовершенствовались и для двухфакторной аутентификации используются биометрические данные, например, отпечаток пальца или сообщение-подтверждение, направляемое через СМС, мессенджер, электронную почту или с помощью Flash Call.
При авторизации через Flash Call пользователю поступает звонок, после чего в специальное окно нужно ввести последние цифры номера, с которого был совершен вызов.
Такая технология тоже безопасна: данные передаются по защищенному протоколу.
Прогноз на будущее
Вероятно, тенденция к сохранению персональных данных россиян внутри страны будет усиливаться. Так, в июле 2023 года Госдума приняла закон, который запрещал с 1 декабря 2023 регистрироваться на российских сайтах через иностранные сервисы, например Apple ID и Google.
Но 28 ноября решение было принято отложить до 1 января 2025 года для того, чтобы сайты успели адаптироваться к новым правилам. Подобные решения приведут к повышению спроса на отечественное ПО.
Другой тренд, который прослеживается и на законодательном уровне — это надежность хранения персональных данных.
После серии громких утечек среди крупных российских компаний правительство России подготовило законопроект, который может повысить штраф за попадание персональных данных в открытый доступ до 15 млн рублей, а при повторном нарушении компанию обяжут заплатить оборотный штраф до 500 млн рублей.
На технологическом уровне для обеспечения безопасности в сервисы все больше будут внедряться нейросети.
Например, для выявления спама нейросетям не нужно открывать доступ к текстовому содержанию сообщений, нарушая конфиденциальность переписки. Алгоритмам достаточно только оценить активность аккаунта: с какого устройства был выполнен вход, сколько сообщений было отправлено, в какой период времени.
При обнаружении нетипичного для пользователя поведения, такой аккаунт будет заблокирован. Это поможет сократить количество нежелательных сообщений.